Autenticação no Iptables
Projeto NuFW promete autenticação de pacotes que passam pelo seu Firewall Linux. Talvez isto seja um problema para você, como é para mim hoje. Esta ferramenta, acoplada ao iptables, torna seu Firewall Linux ainda mais poderoso.
[ Hits: 38.294 ]
Por: Alan Cota em 19/03/2005
O Projeto NuFW
O Projeto NuFW (http://www.nufw.org) é uma suíte de autenticação que se acopla ao iptables no Linux. A idéia é autenticar o usuário que está tentando acessar o recurso, jogando o pacote que está entrando no firewall para uma fila. Após a autenticação ser feita, podendo-se utilizar diretórios LDAP, o pacote irá para o filtro iptables caso a autenticação seja válida e constatada que aquele usuário realmente tem acesso ao recurso solicitado.
Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.
1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.
2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.
3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.
4. Implementar SSO (Single Sign On).
5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.
6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.
7. NuFW é um software aberto, liberado sob a GNU GPL.
Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.
Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.
Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.
Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!
Um abraço e até a próxima.
Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.
Características do NuFW
1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.
2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.
3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.
4. Implementar SSO (Single Sign On).
5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.
6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.
7. NuFW é um software aberto, liberado sob a GNU GPL.
Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.
Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.
Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.
Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!
Um abraço e até a próxima.
Páginas do artigo
1. Introdução2. O Projeto NuFW
Outros artigos deste autor
Implementando uma política de segurança eficaz
Gerenciando regras de Iptables com Firewall Builder
Certificações Novell para Linux
IPCop Firewall - Uma ótima opção de proteção para sua rede ADSL
Leitura recomendada
IPTABLES - Conceitos e aplicação
Configurando firewall básico para compartilhar internet
IPtables - Trabalhando com Módulos
Firewall iptables em cinco minutos e compartilhamento de conexão
Servidor seguro com Bridge, Snort e Guardian
Comentários
[1] Comentário enviado por pistosbo em 21/03/2005 - 08:28h
Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.
Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.
[2] Comentário enviado por shocker em 21/03/2005 - 09:17h
Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.
Um abraço.
Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.
Um abraço.
[3] Comentário enviado por mrluk em 21/03/2005 - 10:12h
Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.
De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!
Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.
De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!
[4] Comentário enviado por farra_br em 21/03/2005 - 13:58h
Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....
Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....
[5] Comentário enviado por pistosbo em 22/03/2005 - 11:24h
Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.
Mas mesmo assim parabens pelo artigo.
Abraços
Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.
Mas mesmo assim parabens pelo artigo.
Abraços
[6] Comentário enviado por removido em 27/03/2005 - 00:06h
Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":
iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."
Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)
[]'s
Max
Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":
iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."
Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)
[]'s
Max
[7] Comentário enviado por agk em 31/03/2005 - 17:33h
Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.
Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.
[8] Comentário enviado por Mcloud em 06/02/2007 - 08:24h
Tão confundindo Artigo com Tutorial...
Parabéns, a informação foi muito relevante...
Abraços...
Tão confundindo Artigo com Tutorial...
Parabéns, a informação foi muito relevante...
Abraços...
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Atualizar Linux Mint 22.2 para 22.3 beta
Jogar games da Battle.net no Linux com Faugus Launcher
Como fazer a Instalação de aplicativos para acesso remoto ao Linux
Tópicos
Conky, alerta de temperatura alta (10)
Assisti Avatar 3: Fogo e Cinzas (3)
Duas Pasta Pessoal Aparecendo no Ubuntu 24.04.3 LTS (42)
Top 10 do mês
-
Xerxes
1° lugar - 149.238 pts -
Fábio Berbert de Paula
2° lugar - 67.710 pts -
Buckminster
3° lugar - 21.892 pts -
Mauricio Ferrari
4° lugar - 21.478 pts -
Alberto Federman Neto.
5° lugar - 20.182 pts -
edps
6° lugar - 19.177 pts -
Daniel Lara Souza
7° lugar - 18.321 pts -
Andre (pinduvoz)
8° lugar - 16.649 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 15.913 pts -
Jesuilton Montalvão
10° lugar - 14.558 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
